Перейти на Sec.Ru
Рейтинг@Mail.ru

05 февраля 2015

Восстанавливаем удаленные или поврежденные данные, краткое пособие для пользователя. Часть 1

Е.В. Артамонова,
член МНОО «МАИТ», проект itzashita.ru

 

В работе любой коммерческой или государственной компании бывают случаи умышленного или случайного удаления и повреждения информации (причем даже конфиденциальной). Конечно же, чтобы таких инцидентов не было, надо применять программы и сервисы резервного копирования, а также грамотно составить политику безопасности организации. Но в этой статье рассмотрим случаи, когда все-таки имеет место быть удаление или повреждение актуально важной для компании информации:

  1. Увольнение сотрудника. При увольнении (особенно, если оно произошло по инициативе администрации предприятия) менеджер по продажам, например, может умышленно удалить базу клиентов или поставщиков. На предприятиях малого бизнеса, как правило, такая информация находится в ведении сотрудника и резервное копирование не производится.
  2. Выход из строя оборудования для хранения данных (флешек, жестких дисков, мобильных винчестеров).
  3. Случайное удаление данных по ошибке сотрудниками.
  4. Умышленное удаление данных злоумышленниками, чтобы скрыть следы своей преступной деятельности. Например, компрометирующей информации или каких-либо «неудобных» фотографий или видео-файлов с карты памяти камеры.
  5. Разные другие случаи, в результате которых важная информация оказалась повреждена или уничтожена (например, случайное или умышленной форматирования флешки или жесткого диска и т.д.).

 

О принципах восстановления информации

Опишем общие принципы восстановления удаленной информации. Итак, что же происходит в операционной системе, когда Вы удаляете файл? При удалении файла, например, в Windows, фактически ничего «особо страшного» и не происходит. Windows просто создает запись в файловой системе о том, что файл удален и система освобождает пространство, которое он занимает, делая возможным его использование в других приложениях.

Затем, это делается быстро и «по горячим следам», когда файл помечен как «удаленный», но его реальное дисковое пространство пока не использовано другими программами, восстановить файл можно легко и безболезненно. Именно на этой основе разрабатывались алгоритмы почти всех программ для восстановления данных.

Единственная рекомендация для пользователей, которые столкнулись с несанкционированным удалением информации: ничего не записывать и не удалять больше с этого носителя данных. А затем, не откладывая этот вопрос «в долгий ящик», применить специальный софт для восстановления информации.

Первые программы для восстановления данных именно так и работали: сканировали диск, находили там файлы с пометкой «удален» и просто снимали с них эту пометку, таким образом, файл опять восстанавливался в системе. Да и сейчас работает этот простой «дедовский способ» восстановления, программа проводит «быстрый анализ диска» и восстанавливает информацию, при условии, что она удалена только что и на диск больше ничего не записано.

Современные программные средства в дополнение к этим старым методам, уже используют новые механизмы поиска и восстановления данных. При восстановлении они копируют содержание удаленных файлов в другой документ (пользователю предлагается сохранять восстанавливаемые данные на другом диске).

А что делать, если диск отформатирован или перераспределен или повреждена файловая система? В таком случае эти программы окажутся бессильны. Поэтому и были созданы новые алгоритмы поиска и восстановления удаленных файлов.

Один из современных алгоритмов восстановления данных – это поиск по сигнатурам «Signature-search». Данный алгоритм позволяет искать информацию по содержанию, которое больше вообще никак не видно в файловой системе (даже под меткой «удален»). Этот момент позволяет пользователю восстановить свои файлы с уже отформатированных или поврежденных дисков. Но и поиск по сигнатурам имеет свои ограничения.

Рассмотрим, как работает этот метод. После простого сканирования файловой системы, запускается «Signature-search» и происходит считывание абсолютно всей информации с поверхности жесткого диска, при этом происходит обнаружения файлов, на которые даже нет ссылок из файловой системы.

Вот что делает программа: считываемая с диска информация соотносится с характерными подписями известных типов файлов на предмет соответствия содержания найденного файла какому-либо из пунктов базы данных форматов файлов. Если расширение файла оказывается знакомым, то алгоритм еще и анализирует заголовок файла, для извлечения как можно больше информации о нем. Этот метод позволяет определить почти точный размер файла и рассчитывает расположение всего файла на диске. А вот некоторые типы файлов содержат в заголовках еще больше информации, отсутствующей в файловой системе. Здесь видны огромные преимущества метода «Signature-search». Он позволяет восстановить больше информации, более качественно восстановить файлы, а также восстановить с отформатированных, заново размеченных или поврежденных носителей информации.

С помощью этого метода очень хорошо восстанавливать офисные документы (DOC, XLS, PPT, RTF и другие), сжатые архивы, цифровые фотографии, сообщения электронной почты,  файлы баз данных, аудио и видео данные. Методом поиска по сигнатурам могут быть обнаружены даже более ранние, но, лучше сохранившиеся версии документов.

В плане использования на практике, например, если уволившийся менеджер удалил базы клиентов в форматах XLS, например, то этим методом мы без особого труда сможем восстановить до 90% информации, без потери качества. Или же секретарь (бухгалтер), ошибочно перезаписал на более раннюю правильную версию текстового документа, другой по содержанию документ. Во многих офисах есть такая проблема, что обычно делается в этом случае? Сотрудник просто заново переделывает 100% работы, хотя есть выход, восстановление предыдущей версии документа методом «Signature-search».

Ну и конечно, еще один пример: злоумышленник удалил с карты фотокамеры очень важные фотоматериалы, являющиеся доказательной базой по уголовному делу. Казалось бы, победа на стороне преступника? А вот и нет, с помощью этих программ можно восстановить всю удаленную информацию.

Есть и недостатки у метода поиска по сигнатурам, остановимся на них детально. Дело в том, что восстановление данных с помощью Signature-поиска может иметь дело только с известными типами файлов. (По теме: восстановление данных с флешки) Большинство видов файлов хранятся в базах данных сигнатур, но есть такие виды файлов, которые там отсутствуют. Поиск по сигнатурам ведь имеет ограничения по определенным типам данных.

Еще одним важным недостатком алгоритмов поиска по сигнатурам является то, что работа с ними занимает много времени, так как алгоритм должен просканировать детально весь диск. Поэтому Signature-поиск рекомендуется применять совместно с традиционными методами восстановления информации. [1]

 

Литература

  1. [Электронный ресурс] – Режим доступа: Восстановление данных. http://recovery-software.ru
Просмотров: 1044

Мнения экспертов

Статьи имеют практическую ценность для широкого круга читателей, но все три части лучше объединить в одну статью. В конце статьи привести сравнительную таблицу четырёх показателей: наименование компьютерной программы; стоимость, достоинства, недостатки.

Сразу хочется отметить, что статья рассчитана на неподготовленного читателя (категория «для чайников»). Тем не менее, польза статьи очевидна. Постановка проблемы, пути ее решения, сравнительный анализ существующего ПО , советы, чтобы не делать ошибок, которые уже сделаны до нас – все это в статье есть! Даны также рекомендации по частичному и полному уничтожению данных, что, конечно, может и не нужно в «пособии», но уместно в статье. Недостатком, на мой взгляд, является отсутствие в статье «изюминки»-каких-то разработок, результатов исследований, статистики и пр., поскольку, в основном, аудитория sec.ru - это люди подготовленный и им желательно дать какую-то новую информацию, которую они еще не знают. В целом же, статья вполне достойна быть опубликованной!

Статья безусловно полезная. Данную информацию необходимо знать всем, кто сталкивается с хранением цифровой информации. Хоть раз да пригодится.

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru